みなさん、こんにちは。AWS ソリューションアーキテクトの古屋です。 日々のお客様との会話の中で、「業務課題を解決するために新たな機能やシステムの開発が必要ではあるが、外部リソースを確保する余力もなく、自社に十分なエンジニアもいないため実現が難しい」というお声をいただきます。同様のお悩みをお持ちの方も少なくないのではないでしょうか。 近年、そういった状況に対して、 Amazon Bedrock や Amazon Q Developer をはじめとする AWS の生成 AI サービスの登場により、限られた開発リソースの中でも、業務を最もよく知る現場の担当者自身が課題解決の仕組みを構築できる環境が整いつつあります。 今回は、まさに生成 AI を活かし、非エンジニアのメンバーが中心となって契約書管理 AI エージェントを構築された大成株式会社様の事例をご紹介します。本事例では、Amazon Q Developer によりプログラミング経験が限られたメンバーでも AWS 上でのシステム構築が可能となり、さらに Amazon Bedrock を利用することでインフラ構築や運用管理なしに Claude のような高性能な基盤モデルを API 一つで呼び出せるため、従来手作業で数十分かかっていた情報抽出を数分に短縮する仕組みを短期間で実現いただきました。 お客様の状況と経緯 大成株式会社様（以下、大成様）は、「ビルトータルソリューション」を掲げ、ファシリティマネジメント、プロパティマネジメント、不動産投資事業、修繕工事や改修工事などの建築事業を展開する総合サービス企業です。 大成様のプロパティマネジメント業務では、ビルオーナー様やテナント様との間で締結される多数の契約書が業務の根幹をなしています。しかしながら、従来の契約書管理では、以下の課題が存在していました。 契約書の検索が手作業に依存しており、必要な情報を見つけるために複数の PDF を開いて目視で確認する必要がある テナント様ごとに契約内容の仕様が異なるため、ビル名やテナント名だけでは目的の契約書にたどり着けない場合がある ビルオーナー様からの問い合わせに対し、契約書の特定から情報確認、回答までに多くの時間を要し、迅速な顧客対応の妨げとなっている これらの課題を解決するため、業務改善やシステム利活用を担当している IT 戦略推進室が本取り組みに参加しました。大成様では社内 SE、内製開発を行うエンジニアを擁していないため、同部にて生成 AI を活用した契約書管理システムの構築を検討されることになりました。 ソリューション／構成内容 本プロジェクトでは、非エンジニアのプロジェクトマネージャーが中心となり、Amazon Q Developer の支援を受けながらシステムを構築しました。Amazon Q Developer は自然言語での指示に基づいてコードを生成する AI アシスタントであり、プログラミング経験が限られた担当者でも実用的なシステムを構築できます。 本システムでは、Amazon Bedrock、 AWS Lambda 、 Amazon S3 、 Amazon DynamoDB を組み合わせて活用しています。Amazon Bedrock は生成 AI の中核を担い、Anthropic 社の Claude AI モデルを通じて契約書 PDF の解析と重要情報の抽出を実行します。 Amazon Bedrock + Claude を採用したポイントとして、Claude の高度な文書理解能力が挙げられます。契約書は法的な専門用語を含む複雑な文書であり、テナント様ごとにフォーマットが異なりますが、Claude は PDF などの非構造化データから文脈を理解した上で必要な情報を正確に抽出できます。また、AWS Lambda を中心としたサーバーレスアーキテクチャにより、非エンジニアが中心のチームでもインフラ管理に煩わされることなくシステムを運用できる点、そして日常的に使用している Slack との統合が容易で導入時の移行障壁を低く抑えられる点も、AWS を選択された理由です。 導入効果 実際にご利用いただいた結果、以下のような効果が得られています。 契約書からの情報抽出にかかる作業時間を 約 70〜80% 削減 。従来 1 件あたり数十分を要していた作業が数分で完了 将来的には、CSV 形式でのデータ出力機能を実装し、契約書情報の一括管理および分析を可能とする仕組みの構築を検討 AI による解析で情報抽出の精度と一貫性が向上し、人手による見落としや誤読のリスクを低減 Slack 上のシンプルなワークフローにより、従業員の受け入れがスムーズに また、非エンジニアでも Amazon Q Developer の支援により AWS の各種サービスを組み合わせた実用的なシステムを構築できることが実証されたことにより、他の業務領域でも生成 AI を活用した業務改善の取り組みが始まるきっかけとなっています。 大成様では今回の成功を踏まえ、契約書の自動要約機能や自然言語での高速検索機能の追加を検討されています。さらに、施設管理報告書の自動生成やメンテナンス記録の分析など、プロパティマネジメント業務全般での AI 活用拡大も計画されています。 お客様の声 大成株式会社 IT 戦略推進室 石川 静華様からは、「AWS のサービスを使うことで非エンジニアでも実業務の課題を自らの手で解決できる喜びを実感しました。」とのコメントをいただいています。 まとめ 今回は大成様が Amazon Bedrock と Amazon Q Developer を活用し、非エンジニアの手で契約書管理 AI エージェントを構築された事例をご紹介しました。Claude の高度な文書理解能力とサーバーレスアーキテクチャの組み合わせにより、専門的な開発リソースがなくても実用的な業務改善システムを実現されています。スモールスタートで確実に成果を出すアプローチは、これから生成 AI 活用を検討される企業にとっても参考になる取り組みです。 生成 AI を活用した業務改善にご興味をお持ちのお客様は、ぜひ AWS までお問い合わせください。 大成様 IT 戦略推進室 推進課 課長　田島 宏美 IT 戦略推進室 戦略課 主任　石川 静華 IT 戦略推進室 推進課 主任　鎌倉 由佳 Account Team： ソリューションアーキテクト　森   瞭輔 アカウントマネージャー　植木　輝 記事執筆： ソリューションアーキテクト　古屋　楓

本記事は 2026 年 3 月 24 日に公開された Cristian Graziano の「 Amazon CloudFront flat-rate pricing plans: new features and expanded capabilities 」を翻訳したものです。 2025 年 11 月、 Amazon CloudFront  の 定額料金プランをリリース しました。リリース以降、お客様からいただいたフィードバックをもとに新しい機能を追加してきました。この記事では、  Lambda@Edge のサポート、 CAPTCHA 、相互 TLS (mTLS) 、そして AI ボットやエージェントのトラフィックを可視化する AI アクティビティダッシュボードなど、最新の追加機能をご紹介します。また、使用量の上限を超えたトラフィックの扱いについても明確化しています。 定額料金プランとは 定額料金プランは、トラフィックのスパイクや攻撃に関係なく、月額固定料金で Web サイトやアプリケーションの配信と保護に必要なすべてを提供します。超過料金は発生しません。 CloudFront CDN 、  AWS WAF  、分散型サービス拒否 (DDoS) 対策、ボット管理、  Amazon Route 53  DNS 、  Amazon CloudWatch  Logs へのログ取り込み、サーバーレスエッジコンピューティング、  Amazon Simple Storage Service (Amazon S3)  のストレージクレジットを、選択したプランティアに応じた月額料金で提供します。 プランは Free ($0/ 月 ) 、 Pro ($15/ 月 ) 、 Business ($200/ 月 ) 、 Premium ($1,000/ 月 )の 4 つのティアで提供されています。各ティアで利用できる機能が異なり、想定されるトラフィック量も異なります。いつでもアップグレードでき、年間契約は不要です。 新機能と対応機能の拡大 プランのリリースから 4 か月で、数十万のお客様がこれらのプランを利用して、予測可能な料金で Web サイトのセキュリティ強化と高速化を実現しています。 AWS のあらゆる機能やサービスと同様に、お客様の声に耳を傾け、新しい機能強化を導入しています。たとえば、定額料金プランに期待しているものの、プランがまだサポートしていない機能を既存の設定で使用しているため導入できないというお客様の声がありました。アプリケーションの動作を変更することなく、予測可能な月額料金を利用したいというご要望です。こうしたお客様のニーズに応えるため、新しい機能を追加しました。 AI アクティビティダッシュボード 。 AWS WAF の新しい AI アクティビティダッシュボードは、アプリケーションに到達する AI ボットやエージェントのトラフィックを可視化します。トラフィックの推移を時系列で確認したり、もっともアクティブなボットや頻繁にアクセスされるパスを特定したり、ボットのカテゴリや検証ステータスごとにリクエストを分析したりできます。このダッシュボードは、 Pro ティア以上のすべての有料プランに含まれています。 AI ボットのトラフィックに対してアクションを実行できるボット管理コントロールは、 Business ティア以上で  AWS WAF Bot Control  を通じて利用できます。 Lambda@Edge と CAPTCHA のサポート 。 Lambda@Edge や AWS WAF ルールで CAPTCHA を使用しているお客様も、定額料金プランを利用できるようになりました。以前は、これらの機能を使用しているディストリビューションはプランに加入できず、プランに加入しているディストリビューションでこれらの機能を有効にすることができませんでした。 AWS WAF ルールで設定した CAPTCHA レスポンスはプラン料金に含まれます。 Lambda@Edge はすべてのプランティアでサポートされるようになり、呼び出しはプラン料金に加えて標準の従量課金制で請求されます。 相互 TLS(mTLS) 。定額料金プランに mTLS のサポートを追加しました。 Business ティア以上で利用できるオリジン mTLS は、許可された CloudFront ディストリビューションのみがアプリケーションに接続できるようにします。これは、署名検証によりアプリケーションへのアクセスを制限する  オリジンアクセスコントロール (OAC)  や、アプリケーションをプライベートサブネットに配置して CloudFront 経由でのみアクセス可能にしパブリックインターネットに公開しない  VPC オリジン  といった既存のセキュリティオプションに加わるものです。これらの機能を組み合わせることで、すべてのトラフィックが CloudFront と AWS WAF のセキュリティルールを経由してからアプリケーションに到達するようにできます。 Premium ティアで利用できるビューワー mTLS では、クライアントがアプリケーションに接続する前に有効な証明書の提示を要求できます。 使用量の上限を超えたトラフィックの扱い 定額料金プランは、超過料金のない月額固定料金を提供します。トラフィックのスパイクが発生しても追加料金は発生せず、コンテンツが拡散した瞬間に請求の心配をする必要もなく、サービスのローンチが成功しても課金のペナルティはありません。各プランには、そのティアで最適なパフォーマンスを発揮するための使用量の上限が設定されています。使用上限はハード制限ではありません。予測可能な料金と安定したパフォーマンスが得られます。使用量が上限の 50% 、80% 、100% に近づくと通知が届き、コンソールからいつでも使用状況を確認できます。 リリース後、月間の使用量の上限を超えたトラフィックがどのように扱われるのか、より明確な説明を求めるお客様の声がありました。上限を超えたトラフィックの扱いについて、以下のように明確化しました。 月間使用量の上限を初めて超えた場合、上限の最大 3 倍までのトラフィックはその月内において問題なく処理されます。それを超える場合には、超過使用量は複数月にわたって評価されます。使用量の上限を大幅かつ長期間にわたって超過した場合にのみ、トラフィックの配信方法が調整される場合があります。ほとんどのお客様はパフォーマンスの調整を経験することはありませんし、いずれの場合においても超過料金は発生しません。また、いつでも上位ティアにアップグレードできます。 既存のディストリビューションを定額料金プランに変更する場合やプランティアを変更する場合、 CloudFront コンソールに各プランティアの使用量の上限に対する過去の使用状況が表示されるため、プランの選択が容易になります。 詳細は 毎月の使用上限 をご覧ください。 はじめ方 新しいアプリケーションを構築する場合でも、すでに  Amazon Web Services (AWS)  上で運用している場合でも、定額料金プランをすぐに利用開始できます。  CloudFront コンソール にアクセスして、新規または既存のディストリビューションをプランに登録してください。定額料金プランと従量課金制を異なるディストリビューションで組み合わせて使用できるため、アプリケーションごとに最適な料金モデルを柔軟に選択できます。 詳細は プランと機能 、または CloudFront デベロッパーガイド をご覧ください。 著者紹介 Cristian Graziano Cristian Graziano は、シアトルを拠点とする Amazon CloudFront のプリンシパルプロダクトマネージャーです。プロダクト、エンジニアリング、 UX の各チームと連携し、初めて AWS を利用するお客様から経験豊富なお客様まで、あらゆる規模のお客様が Amazon CloudFront および関連する AWS サービスを迅速にオンボーディング、設定、管理できるよう支援しています。 翻訳はプロフェッショナルサービスの鈴木 ( 隆 ) が担当しました。

本記事は 2026 年 3 月 18 日 に公開された「 Scale fine-grained permissions across warehouses with Amazon Redshift and AWS IAM Identity Center 」を翻訳したものです。 Amazon Redshift は、フルマネージドでペタバイト規模のクラウドデータウェアハウスで、分析ワークロードを容易にスケールできます。複数のビジネスユニットにまたがって分析機能を拡張する際、各ウェアハウスのきめ細かなアクセス許可を効率的に定義・管理する手法が求められます。多くの組織では、Microsoft Entra ID、Okta、Ping などの外部 ID プロバイダー (IdP) を使用してワークフォース ID を一元管理しており、一貫したアクセス制御でデータウェアハウスを効率的に統合する必要があります。この課題に対応するため、 Amazon Redshift フェデレーテッドアクセス許可 と AWS IAM Identity Center の統合が導入されました。セキュリティポリシーを一度定義すれば、アカウント内のすべてのウェアハウスに自動的に適用できます。 Amazon Redshift フェデレーテッドアクセス許可は、IAM Identity Center を通じて 複数の AWS リージョン で利用できるようになりました。Microsoft Entra ID、Okta、Ping Identity、OneLogin などのサポートされている ID プロバイダー (IdP) の ID を、IAM Identity Center を通じてサポートされている AWS リージョン間で使用できます。レジリエンシーやユーザーへの近接性といったビジネス要件に対応できます。IAM Identity Center をプライマリ AWS リージョンから、データレジデンシー要件に基づいて追加のリージョンに拡張できるようになりました。そのリージョンでは、Amazon Redshift フェデレーテッドアクセス許可を使用して複数のウェアハウスに新しいウェアハウスを追加し、水平方向のマルチウェアハウススケーラビリティを実現できます。Redshift フェデレーテッドアクセス許可では、そのリージョン内の任意の Redshift ウェアハウスからデータアクセス許可を一度定義すれば、そのリージョンのアカウント内のすべてのウェアハウスに自動的に適用されます。 本記事では、Amazon Redshift フェデレーテッドアクセス許可と AWS IAM Identity Center を実装し、複数のデータウェアハウスにまたがるスケーラブルなデータガバナンスを実現する手順を紹介します。Enterprise Data Warehouse (EDW) がプロデューサーデータウェアハウスとして一元的なポリシー定義を持ち、手動で再設定することなく Sales および Marketing のコンシューマーデータウェアハウスにセキュリティポリシーを自動適用するアーキテクチャを示します。以下の内容を扱います。 データ共有のプロデューサーとコンシューマーの両方に対する IAM Identity Center 接続の設定 Amazon Redshift Serverless 名前空間の AWS Glue Data Catalog への登録 信頼できる ID の伝播のセットアップ 動的データマスキング ポリシーの作成とアタッチによる、顧客の生年月日などの個人情報 (PII) の保護 ユーザーロールに基づくデータの可視性を制御する 行レベルセキュリティ ポリシーの実装 IdP グループから Amazon Redshift データベースロールへのマッピングによるシームレスなアクセス管理 前提条件 開始前に以下を確認してください。 管理者ロール権限を持つ AWS アカウント 上記の管理者ロールにデータレイク管理者権限を割り当てる。手順については、 データレイク管理者の作成 を参照 Lake Formation を使用した IAM Identity Center 統合 を有効化 AWS IAM Identity Center と Amazon Redshift Query Editor v2 のセットアッププロセスを理解するため、 こちらのブログ記事 を確認 AWS アカウントで IAM Identity Center を有効化し、「ソリューション概要」セクションの「ユーザーアクセス」(図 2) に記載されているユーザーとグループを作成 Amazon Redshift スーパーユーザーとして、 AWSIDC:awssso-admin データベースロールに CONNECT 、CREATE TABLE、INSERT、SELECT、sys:secadmin の権限を付与 IAM Identity Center アクセス用の IAM ロール: ステップ 1 : Amazon Redshift アクセス用の IAM ポリシーを作成する 。Amazon Redshift と IAM Identity Center を統合するため、Amazon Redshift データウェアハウスが存在するアカウントに IAM ポリシー (例: aws-idc-policy) を作成します。 { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "redshift:DescribeQev2IdcApplications", "redshift-serverless:ListNamespaces", "redshift-serverless:ListWorkgroups", "redshift-serverless:GetWorkgroup" ], "Resource": [ "arn:aws:redshift-serverless:<AWS Region>:<AWS Account ID>:workgroup/*", "arn:aws:redshift-serverless:<AWS Region>:<AWS Account ID>:namespace/*" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "sso:DescribeApplication", "sso:DescribeInstance" ], "Resource": [ "arn:aws:sso:::instance/<IAM Identity Center Instance ID>", "arn:aws:sso::<AWS Account ID>:application/<IAM Identity Center Instance ID>/*" ] } ] } ステップ 2 : IAM ロールを作成する 。Amazon Redshift データウェアハウスが存在するアカウントに IAM ロール (Amazon Redshift – カスタマイズ可能) を作成します (例: IAMIDCRedshiftRole)。 ステップ 3 : IAM ポリシーをロールにアタッチする 。上記のロールに以下の 2 つの IAM ポリシーをアタッチします。 aws-idc-policy AmazonRedshiftFederatedAuthorization ステップ 4 : 信頼関係を更新する 。このロールの信頼関係を以下のように更新します。 {   "Version": "2012-10-17",   "Statement": [     {       "Effect": "Allow",       "Principal": {         "Service": "redshift.amazonaws.com"       },       "Action": [         "sts:AssumeRole",         "sts:SetContext"       ]     }   ] } 注意: AmazonRedshiftFederatedAuthorization は、Amazon Redshift フェデレーテッド認可でクエリを実行するために必要な権限を提供するマネージドポリシーです。 上記の IAMIDCRedshiftRole IAM ロールをすべての Redshift Serverless エンドポイントにアタッチ ソリューション概要 以下のアーキテクチャ図は、マルチウェアハウス環境でのフェデレーテッドアクセス許可を示しており、セキュリティポリシーを自動適用し、Amazon Redshift ウェアハウス全体でスケーラブルなデータガバナンスを実現します。 図 1: サンプルアーキテクチャ図 ユーザーアクセス ユーザーは、Amazon Redshift Query Editor v2、サードパーティの SQL エディター (DBeaver や SQL Workbench など)、またはカスタムクライアントアプリケーションを通じてデータウェアハウスにアクセスできます。どのアクセス方法でも一貫したセキュリティが適用されます。 図 2: ソリューション概要フロー AWS IAM Identity Center の統合 IAM Identity Center は、シングルサインオンによる一元的な認証を提供し、組織内のロールに基づいて権限を自動的に割り当てます。ID フェデレーションにより企業の ID が AWS リソースに直接リンクされ、ウェアハウスへのアクセス前に認証が行われます。 マルチウェアハウスアーキテクチャ このアーキテクチャでは、異なるビジネス機能を持ちつつ、セキュリティポリシーを共有する 3 つのデータウェアハウスを使用します。 Enterprise Data Warehouse (EDW) EDW は、エンタープライズデータの中央リポジトリです。顧客データと製品データは Customer Profile Database (CPD) に格納されており、管理者は 2 つのセキュリティポリシーを定義します。 動的データマスキング (DDM) – Sales Analyst と Marketing Analyst の両方のロールに対して、顧客の生年月日 (DOB) フィールドをマスキングし、分析作業を妨げずに個人情報 (PII) を保護します 行レベルセキュリティ (RLS) – ユーザーロールに基づいて製品の可視性を制御します。Sales Analyst は launched (発売済み) の製品のみ表示でき、Marketing Analyst は launched と planned (計画中) の両方の製品を表示できます EDW は AWS Glue Data Catalog に登録され、統合メタデータリポジトリを作成し、アカウント内のウェアハウス全体でデータを検出可能にします。この登録がフェデレーテッドアクセス許可の基盤となり、ポリシーを自動伝播できます。 Sales データウェアハウス Sales Analyst が顧客テーブルと製品テーブルをクエリすると、フェデレーテッドアクセス許可により EDW で定義したポリシーが自動的に適用されます。EDW の登録済み名前空間が外部データベースとして自動マウントされるため、ポリシーの再作成や再アタッチは不要です。顧客の DOB フィールドはマスキングされ、 launched の製品のみが表示されます。追加設定は不要です。 Marketing データウェアハウス Marketing データウェアハウスも EDW のセキュリティポリシーを自動的に継承します。顧客の DOB フィールドは PII 保護のためマスキングされたままですが、RLS ポリシーにより Marketing Analyst は launched と planned の両方の製品を表示できます。マーケティング計画に必要な広範な可視性が確保されます。アクセス制御はユーザーロールに基づいて自動的に適用されます。 ウォークスルー ここでは 2 つの Amazon Redshift IAM Identity Center (IDC) 接続を作成します。 データ共有プロデューサー Identity Center 接続 – edw-wg Amazon Redshift Serverless ワークグループに割り当て データ共有コンシューマー Identity Center 接続 – cpd-sales-wg および cpd-marketing-wg Amazon Redshift Serverless ワークグループに割り当て Amazon Redshift フェデレーテッドアクセス許可用の IDC 接続をセットアップする ウェアハウス間のフェデレーテッド認証を有効にする IAM Identity Center 接続を設定します。プロデューサー (ポリシー定義) ウェアハウスとコンシューマーウェアハウス用に個別の接続を作成します。 Amazon Redshift データ共有プロデューサー IDC 接続を設定する プロデューサー IDC 接続を作成するには: Amazon Redshift Serverless コンソール を開きます。 ハンバーガーメニューを展開して IAM Identity Center connections を選択します。 Create application を選択します。 「Amazon Redshift connected to IAM Identity Center」と表示されていることを確認し、 Next を選択します。 接続プロパティを設定します。 IAM Identity Center display name に名前を入力します。 Managed application name に rs-multicluster-producer と入力します。 Identity provider namespace で AWSIDC を選択します。 IAM role for IAM Identity Center access で、作成した IAM ロールを選択します。 Query editor v2 application で Enable the query editor v2 application を選択します。 IAM Identity Center application type で Configure Amazon Redshift federated permissions using AWS IAM Identity Center (Recommended) を選択します。 Next を選択します。 Configure client connections that use third-party IdPs で No を選択します。 Next を選択します。 設定内容を確認し、 Create Application を選択します。 図 3: データ共有プロデューサー IDC 接続 データ共有コンシューマー IDC 接続を設定する コンシューマー IDC 接続を作成するには: Amazon Redshift Serverless コンソール を開きます。 ハンバーガーメニューを展開して IAM Identity Center connections を選択します。 Create application を選択します。 「Amazon Redshift connected to IAM Identity Center」と表示されていることを確認し、 Next を選択します。 接続プロパティを設定します。 IAM Identity Center display name に名前を入力します。 Managed application name に rs-multicluster-consumer と入力します。 Identity provider namespace で AWSIDC を選択します。 IAM role for IAM Identity Center access で、作成した IAM ロールを選択します。 Query editor v2 application には「You already have a query editor v2 application.」という通知が表示されます。 IAM Identity Center application type で Configure Amazon Redshift federated permissions using AWS IAM Identity Center (Recommended) の選択を 解除 します。 Trusted identity propagation で AWS Lake Formation access grants と Amazon Redshift Connect を選択します。 Next を選択します。 Configure client connections that use third-party IdPs で No を選択します。 Next を選択します。 設定内容を確認し、 Create Application を選択します。 Amazon Redshift データ共有コンシューマーの IDC アプリケーションに必要なユーザーまたはグループを追加します。 図 4: データ共有コンシューマー IDC 接続 Amazon Redshift Serverless 名前空間に対するデータ共有プロデューサー IDC 接続を設定する フェデレーテッドアクセス許可で edw-ns 名前空間を登録するには: Amazon Redshift Serverless Namespace コンソール を開きます。 Amazon Redshift Serverless 名前空間を選択します。 Actions を選択し、 Register with AWS Glue Data Catalog を選択します。 Register with Amazon Redshift federated permissions を選択します。 Amazon Redshift federated permissions using AWS IAM Identity Center を選択します。 Register を選択します。 図 5: Amazon Redshift データウェアハウスの Glue Data Catalog への登録 図 6: Amazon Redshift データウェアハウスの Glue Data Catalog への登録 注意: 作成したデータ共有プロデューサー IDC 接続の IAM Identity Center マネージドアプリケーション ARN が使用されます。 既存の Serverless 名前空間に対するデータ共有コンシューマー IDC 接続を設定する cpd-sales-wg と cpd-marketing-wg の Serverless ワークグループについて、登録済みの IAM Identity Center 接続から以下の情報を収集します。 IAM Identity Center display name Identity provider namespace IAM Identity Center managed application ARN IAM role for IAM Identity Center access データベース管理者として以下の SQL コマンドを実行し、統合を有効にします。 CREATE IDENTITY PROVIDER "<IAM Identity Center display name>" TYPE AWSIDC NAMESPACE '<Identity provider namespace>' APPLICATION_ARN '<IAM Identity Center managed application ARN>' IAM_ROLE '<IAM role for IAM Identity Center access>'; 既存の ID プロバイダーを変更するには、ALTER IDENTITY PROVIDER コマンドを使用します。 ALTER IDENTITY PROVIDER "<IAM Identity Center display name>" NAMESPACE '<Identity provider namespace>'; ALTER IDENTITY PROVIDER "<IAM Identity Center display name>" IAM_ROLE default | '<IAM role for IAM Identity Center access>'; プロデューサーでのデータ準備とアクセス設定 顧客テーブルと製品テーブルを作成し、サンプルデータをロードし、DDM と RLS ポリシーを作成してデータベースロールにアタッチし、SELECT 権限を付与します。 EDW でデータを準備する IDC Admin ユーザーとして EDW データウェアハウスに接続し、以下の SQL コマンドを実行します。 product テーブルを作成します。 CREATE TABLE product ( product_id VARCHAR(16) NOT NULL, product_desc VARCHAR(200), current_price NUMERIC(7,2), wholesale_cost NUMERIC(7,2), category_desc VARCHAR(50), launch_status VARCHAR(50) ); サンプルの product データを挿入します。 INSERT INTO product VALUES ('AAAAAAAAAFNPEAAA','At least concerned authors adopt just brown, federal',7.12,4.12,'Jewelry','launched'), ('AAAAAAAAOAAGDAAA','Complex services may not find totally changing accountants. Tiny, available ministers could not know always systems. Hot, male speakers discer',8.08,5.49,'Shoes','planned'), ('AAAAAAAAMJJMCAAA','Rows could prevent political, old duties. Just international stairs would regret police. Conditions discard always interesting, warm years. Present jobs shall take nearby relatively dreadful',8.18,5.31,'Jewelry','launched'), ('AAAAAAAAKLBLBAAA','Suddenly external sentences believe then by the assets. Simultaneously young feet could not probe separately shortly new men. Forms work again individuals. Images',17.96,7.9,'Shoes','launched'), ('AAAAAAAAMBKMCAAA','Clubs see finally materials. Significant objectives sell fairly left, civil power',3.18,3.84,'Books','launched'), ('AAAAAAAACPCAAAAA','Perhaps past preferences tell rather to a accounts. Very common feet can command never available final years; minutes expect recent, due employers. Altogether english shoes',9.84,0.19,'Electronics','planned'), ('AAAAAAAAFOIABAAA','More responsible characters go left factors. Championships shall stand twice new, important shows. Books could receive too able, national pounds. Central',3.55,2.2,'Books','launched'), ('AAAAAAAAKGBIAAAA','High, political changes shall not',9.55,5.25,'Electronics','launched'); customer テーブルを作成します。 CREATE TABLE customer ( customer_id VARCHAR(16), first_name VARCHAR(20), last_name VARCHAR(30), date_of_birth VARCHAR(32), birth_country VARCHAR(20), email_address VARCHAR(50) ); サンプルの customer データを挿入します。 INSERT INTO customer VALUES ('AAAAAAAALAMKHGBA','Regina','Coleman','1926-12-17','GAMBIA','Regina.Coleman@JFFRohn.edu'), ('AAAAAAAAMCMKHGBA','John','Bell','1980-01-07','PAPUA NEW GUINEA','John.Bell@uAR3ReP6yi9eDyq.edu'), ('AAAAAAAANNMKHGBA','Jacqueline','Pierre','1951-12-18','SAMOA','Jacqueline.Pierre@UQcHfFDEVdj.com'), ('AAAAAAAANFNKHGBA','Frank','Mackay','1992-03-19','HONG KONG','Frank.Mackay@MzAI.edu'), ('AAAAAAAAOGNKHGBA','Anthony','Miller','1948-02-26','ALGERIA','Anthony.Miller@pF.edu'), ('AAAAAAAACPOKHGBA','Bradley','Sawyer','1956-12-25','ZAMBIA','Bradley.Sawyer@kAXu5U1MrRRkAqP.edu'), ('AAAAAAAAOIPKHGBA','Robert','Carter','1951-01-01','UNITED STATES','Robert.Carter@Z.org'), ('AAAAAAAALJPKHGBA','Ola','High','1980-11-19','SUDAN','Ola.High@N.org'); DDM と RLS ポリシーを作成する customer の生年月日に対するマスキングポリシーを作成します。 CREATE MASKING POLICY mask_cust_dob WITH (date_of_birth VARCHAR(32)) USING (sha2(date_of_birth, 256)::TEXT); product の launch_status に対する RLS ポリシーを作成します。 CREATE RLS POLICY product_launch_status WITH (launch_status VARCHAR(50)) USING (launch_status = 'launched'); CREATE RLS POLICY product_launch_status_all WITH (launch_status VARCHAR(50)) USING (launch_status IN ('launched','planned')); Sales グループと Marketing グループ用の Amazon Redshift DB ロールを作成する データベースロールを作成します。 CREATE ROLE "AWSIDC:awssso-sales"; CREATE ROLE "AWSIDC:awssso-marketing"; マスキングポリシーをアタッチする 両方のロールにマスキングポリシーをアタッチします。 ATTACH MASKING POLICY mask_cust_dob ON dev.public.customer (date_of_birth) TO ROLE "AWSIDC:awssso-marketing"; ATTACH MASKING POLICY mask_cust_dob ON dev.public.customer (date_of_birth) TO ROLE "AWSIDC:awssso-sales"; RLS ポリシーをアタッチし、product テーブルで RLS を有効にする RLS ポリシーをアタッチし、行レベルセキュリティを有効にします。 ATTACH RLS POLICY product_launch_status ON dev.public.product TO ROLE "AWSIDC:awssso-sales"; ATTACH RLS POLICY product_launch_status_all ON dev.public.product TO ROLE "AWSIDC:awssso-marketing"; ALTER TABLE dev.public.product ROW LEVEL SECURITY ON; テーブルへのアクセス権をロールに付与する 両方のロールに SELECT 権限を付与します。 GRANT SELECT ON dev.public.customer TO ROLE "AWSIDC:awssso-sales"; GRANT SELECT ON dev.public.customer TO ROLE "AWSIDC:awssso-marketing"; GRANT SELECT ON dev.public.product TO ROLE "AWSIDC:awssso-sales"; GRANT SELECT ON dev.public.product TO ROLE "AWSIDC:awssso-marketing"; IAM Identity Center を使用して Sales データウェアハウスに接続する Sales Analyst として接続するには: IAM Identity Center 接続タイプを使用して、ユーザー sales-analyst として cpd-sales-wg に接続し、 Continue を選択します。 sales-analyst を選択し、 Next を選択します。 パスワードを入力し、 Sign in を選択します。 MFA コードを入力し、 Sign in を選択します。 Amazon Redshift Query Editor V2 で sales-analyst として cpd-sales-wg に接続できました。 図 7: IDC ユーザーとして Sales データウェアハウスに接続 Sales Analyst として共有データをクエリする 動的データマスキングが適用された customer テーブルをクエリします。 SELECT * FROM "dev@edw-ns"."public"."customer"; customer テーブルにアクセスできますが、 date_of_birth 列の機密情報は暗号化されています。 図 8: customer テーブルの結果セット 行レベルセキュリティが有効な product テーブルをクエリします。 SELECT * FROM "dev@edw-ns"."public"."product"; product テーブルにアクセスできますが、 launch_status が launched の製品のみ表示されます。 図 9: product テーブルの結果セット 注意: Amazon Redshift フェデレーテッドアクセス許可にオンボードされたデータ共有プロデューサーに IDC ユーザーとして接続するには、スーパーユーザーが接続しようとする IDC ユーザーに CONNECT 権限を付与する必要があります。CONNECT 権限の付与方法については、Amazon Redshift データベースデベロッパーガイドの Connect privileges を参照してください。 IAM Identity Center を使用して Marketing データウェアハウスに接続する Marketing Analyst として接続するには: IAM Identity Center 接続タイプを使用して、ユーザー marketing-analyst として cpd-marketing-wg に接続し、 Continue を選択します。 marketing-analyst を選択し、 Next を選択します。 パスワードを入力し、 Sign in を選択します。 MFA コードを入力し、 Sign in を選択します。 Amazon Redshift Query Editor V2 で marketing-analyst として cpd-marketing-wg に接続できました。 図 10: IDC ユーザーとして Marketing データウェアハウスに接続 Marketing Analyst として共有データをクエリする 動的データマスキングが適用された customer テーブルをクエリします。 SELECT * FROM "dev@edw-ns"."public"."customer"; customer テーブルにアクセスできますが、 date_of_birth 列の機密情報は暗号化されています。 図 11: customer テーブルの結果セット 行レベルセキュリティが有効な product テーブルをクエリします。 SELECT * FROM "dev@edw-ns"."public"."product"; product テーブルにアクセスでき、 launch_status が launched と planned の両方の製品を表示できます。 図 12: product テーブルの結果セット 追加リソース フェデレーテッドアクセス許可の実装について詳しくは、以下のリソースを参照してください。 AWS ドキュメント Amazon Redshift フェデレーテッドアクセス許可 Amazon Redshift クエリエディタ v2 からの接続のトラブルシューティング AWS ブログ Amazon Redshift フェデレーテッドアクセス許可でマルチウェアハウスのデータガバナンスを簡素化する Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using AWS IAM Identity Center for seamless Single Sign-On AWS デモ Introducing Amazon Redshift Federated Permissions 主なメリット 管理負荷の削減 – ポリシーを一元管理し、手動での複製が不要になります 一貫したセキュリティの適用 – ウェアハウスやアクセス方法を問わず、ポリシーが均一に適用されます ID のシームレスな統合 – 信頼された ID 伝播とロールベースのアクセス制御で、既存の ID プロバイダーとのシングルサインオンを実現します まとめ 本記事では、Amazon Redshift フェデレーテッドアクセス許可と AWS IAM Identity Center の統合により、セキュリティポリシーを一元管理し、マルチウェアハウスのデータガバナンスを効率化する方法を紹介しました。動的データマスキングと行レベルセキュリティのポリシーを Enterprise Data Warehouse で一度定義すれば、同じアカウントとリージョン内の接続先データウェアハウスに自動適用されます。 著者について Raghu Kuppala Raghu は、データベース、データウェアハウジング、分析分野の経験を持つ Analytics Specialist Solutions Architect です。仕事以外では、さまざまな料理を試したり、家族や友人と過ごすことを楽しんでいます。 Satesh Sonti Satesh は、アトランタを拠点とする Principal Specialist Solutions Architect で、エンタープライズデータプラットフォーム、データウェアハウジング、分析ソリューションの構築を専門としています。世界中の銀行・保険業界のクライアント向けに、データ資産の構築や複雑なデータプラットフォームプログラムのリードに 20 年以上の経験があります。 Sandeep Adwankar Sandeep は、Amazon SageMaker Lakehouse の Senior Product Manager です。カリフォルニアのベイエリアを拠点に、世界中のお客様と連携してビジネスおよび技術要件を製品に反映し、データの管理、セキュリティ、アクセスの改善を支援しています。 Sumukh Bapat Sumukh は、AWS のソフトウェアエンジニアです。認証、接続性、セキュリティにおける複雑な問題を解決し、Amazon Redshift のカスタマーエクスペリエンス向上に取り組んでいます。ID 管理、セキュアアクセス、分散データベースシステムに注力しています。 Praveen Kumar Ramakrishnan Praveen は、AWS のシニアソフトウェアエンジニアです。ファイルシステム、ストレージ仮想化、ネットワークセキュリティなど、さまざまな分野で約 20 年の経験があります。AWS では Redshift のデータセキュリティ強化に注力しています。 Ashish Ghodke Ashish は、Amazon Web Services のソフトウェアエンジニアで、Amazon Redshift などの大規模クラウドサービス向けの ID およびアクセス管理システムに取り組んでいます。分散システム向けのセキュアな認証とシングルサインオンソリューションの構築に注力しています。分散システム、クラウドセキュリティ、スケーラブルで信頼性の高いインフラストラクチャの構築に情熱を持っています。 この記事は Kiro が翻訳を担当し、Solutions Architect の Kenji Hirai がレビューしました。